Indice
WordPress es sin duda alguna el gestor de contenidos más famoso de Internet. Más de 75 millones de webs están realizadas con WordPress, lo que supone algo más del 25% de las páginas web existentes. Y esto ha convertido a WordPress en un bocado muy apetecible para los hackers y a los administradores de este Gestor de contenidos en presa fácil.
Si tú o tu empresa tenéis una página web, un blog o una tienda online, seguramente estará realizada en WordPress. Y si es así, tienes que estar preparado para protegerte o de lo contrario, más pronto que tarde, sufrirás un ataque.
En este post voy a tratar de transmitirte cinco ideas básicas de seguridad que te permitirán vivir una vida digital un poco más tranquila.
REGLA Nº 1: APRENDE A CAMUFLARTE.
Lo primero que hemos de tener en cuenta cuando hablamos de seguridad digital de sitios web es que raramente se trata de una cuestión personal.
Me explico:
Da igual que seas una empresa grande o un blog personal, los hackers no van a ir a por ti de una forma directa y premeditada; en realidad no saben quién eres, tan solo se limitan a tirar el anzuelo en río revuelto y cobrarse sus presas. La protección de tu web es realmente cuestión de suerte. Piensa que a unos pocos le toca la lotería y a otros les piratean la web. No tenemos la seguridad de que nos pase ni una ni otra, pero ambas son posibles.
Como hemos visto, la mayoría de las páginas web están realizadas en wordpress, así que nuestro primer objetivo tiene que ser aprender a camuflarnos, de forma que si un atacante está buscando instalaciones de WordPress para atacar, nuestra web pase desapercibida. Cierto es que si va a por nosotros nos va a encontrar, pero si está buscando «a ve qué salta» tenemos muchas posibilidades de salir bien parados.
Para poner un ejemplo, vamos a hacer un ejemplo muy simple de lo que yo llamo «hacker de guardería infantil»
- Abre google y busca (incluidas las comillas) «otro sitio realizado con wordpress»
Este texto es el que pone por defecto WordPress en la descripción corta del blog
En mi caso, me han salido 916.00 resultados.Como vemos, ya tengo casi 1 millón de páginas que sé que están realizadas con WordPress y, por lo que se ve, no prestan especial atención a la seguridad web (y eso sólo en castellano)
- Vamos a elegir una cualquiera de la lista y hacemos click en el primer artículo que aparece
- Ahora buscamos dónde aparecen los datos del autor del artículo y hace click sobre él
- Así, accedemos a la página donde aparece el nombre de usuario de ese autor
Recapitulemos:
– Por un lado sabemos que esta web utiliza wordpress
– También sabemos que tiene un usuario llamado raiza - El siguiente paso será entrar en la página de administración wp-admin de ese dominio
- El usuario que tenemos que poner está claro: raiza. Sólo nos queda ir probando con las contraseñas más usuales: admin, 123456, raiza, etc..
Con los consejos de https://autodefensadigital.es mi web es mucho más segura Clic para tuitear
Fijaros lo fácil que ha sido acceder al sistema de validación de esta web y conocer uno de los dos datos de entrada. Y si todo esto lo hemos logrado con nuestro nivel de hacker de parvulario, imagina lo que puede hacer un experto de verdad en la materia.
Y como decía al principio: No es nada personal contra esta página web. Simplemente, le ha tocado.
Off-Topic: Si te has reconocido en la página web del ejemplo, ponte en contacto conmigo y revisaremos toda la seguridad de tu web
Bien, para evitar que te pueda pasar algo como lo que te he mostrado en este ejemplo, tienes que aprender a camuflar tu web y no dar más pistas de las necesarias. Como los más listos de la clase ya habrán deducido, lo primero que tenemos que hacer es cambiar el texto por defecto en los ajustes generales de nuestro WordPress
El siguiente paso será borrar todos los rastros que WordPress va dejando, de tal forma que si alguien se interesa por nuestra web, le cueste mucho trabajo saber en qué la hemos diseñado.
Pare ello tenemos dos plugins muy útiles que son:
Acunetix WP Security
WP Hide & Security Enhancer.
Con ellos puedes ocultar tu rastro, de tal forma que un posible atacante no sea capaz de averiguar si la página web está desarrollada en WordPress, la versión utilizada, plugins instalados, etc…
Para hacer la prueba, en internet puedes encontrar varios servicios de análisis de páginas web como:
Todas ellas van a analizar tu web y te van a decir «qué han conseguido descubrir» sobre ella.
Mediante estas páginas podemos descubrir «mas chicha» sobre una página web:
- Qué versión de WordPress tiene instalada (con lo cual podemos saber las vulnerabilidades de esa versión y atacarlas)
- Que temas tiene instalados
- Qué plugins tiene instalados y si están actualizados
- Si tenemos acceso a listar alguna carpeta.
Por ejemplo, en el análisis de la web del ejemplo anterior, WpDanger me ha dicho que la carpeta /wp-content/upload de esa web es navegable así que puedo acceder directamente y ver su contenido saltándome las páginas web y poder acceder a todo el contenido que se haya subido a través de WordPress, esté asociado o no a una página web
Pero que no cunda el pánico:
Tras aplicar las distintas opciones de estos plugins, puedess llegar a conseguir que tu blog sea imposible de identificar.
Aquí os dejo un pantallazo de lo que wpdanger es capaz de averiguar de este blog:
Como podéis ver, ni siquiera sabe que utilizo WordPress!
REGLA Nº2: MANTENTE SIEMPRE ALERTA
Si tu página web o blog resulta hackeada, es fundamental que reacciones lo antes posible ante el ataque.
Para estar al tanto de posibles cambios en tu web, te recomiendo el plugin
WordPress File Monitor.
Este plugin se encarga de analizar tu web cada cierto tiempo (tú decides si cada semana, cada día, cada hora) y en caso de detectar cambios en algún fichero te envía un correo electrónico avisándote de los cambios realizados. Esto te permite estar informado puntualmente tanto de posibles hackeos a tu web como, por ejemplo, de cuándo se actualiza un plugin automáticamente. Además, al tener todos estos correos en tu email, puedes consultar más adelante qué cambios has sufrido y cuándo se han realizado.
REGLA Nº 3: EXPLORA TUS DEBILIDADES.
Tan importante como estar siempre alerta es saber de «dónde pueden venir los tiros».
Para ello, te recomiendo acceder periódicamente a wpvulndb.com web en la que se publican todas las vulnerabilidades que se van encontrando de WordPress.
También puedes inscribirte en su lista de correo para que te las envíen directamente a tu email a través de la url https://wpvulndb.com/subscribers/new
Como medida de seguridad adicional, te recomiendo el plugin
Anti-Malware Security and Brute-Force Firewall.
Este plugin es una especie de antivirus para WordPress, con el que podrás analizar tu blog y detectar posibles problemas de seguridad.
Si bien es cierto que se trata de un plugin que requiere ciertos conocimientos técnicos para sacarle el máximo partido, también es verdad que puedes utilizarlo simplemente para detectar posibles problemas.
Si por ejemplo, ayer te decía que está bien y hoy te marca una posible infección, por lo menos ya sabes por dónde empezar a mirar. También cuenta con interesantes opciones para evitar los hackeos más usuales a tu blog, como ataques por fuerza bruta.
REGLA Nº 4: PROTEGE LA ENTRADA A TU CASTILLO.
Ya hemos visto lo fácil que puede llegar a ser acceder a la pantalla de solicitud de credenciales de usuario, e incluso saber qué usuario tenemos que utilizar.
Para evitar problemas de accesos no deseados, refuerza tu sistema de autenticación con un plugin como
google authenticator
Este plugin te ofrece un segundo factor de autentificación para aumentar el nivel de seguridad de tus accesos al panel de control.
Una vez instalado, además de conocer la contraseña tendrás que introducir un segundo código de acceso que sólo estará disponible en tu teléfono móvil. Así, si alguien intenta entrar y descubre tu nombre de usuario, o incluso tu contraseña, pero no tiene acceso a tu teléfono móvil le resultará imposible pasar de la pantalla de acceso
REGLA Nº 5: JUEGA EL COMODÍN DE LA COPIA DE SEGURIDAD.
Como último recurso de nuestro kit de autodefensa WordPress, pero no por ello menos importante, tenemos las copias de seguridad.
Cuanto todo lo demás falle, la única forma de superar el problema será restaurar tu copia de seguridad, y si no la tienes, date por j*d*d*.
Para tus copias de seguridad te recomiendo dos plugins:
Wp-DbManager
Duplicator
Con Dbmanager, además de otras funciones de mantenimiento web, puedes programar una copia de seguridad de la base de datos de WordPress (donde están nuestros datos de usuario, post, páginas, etc…) para que diariamente nos mande una copia a nuestro email.
Así, si algo pasa con nuestros datos (por ejemplo: nos han hackeado, han borrado nuestro usuario y no podemos entrar), siempre podremos dar marcha atrás y solucionar la incidencia.
El segundo plugin de seguridad que te recomiendo, Duplicator, es una auténtica maravilla. Imprescindible en cualquier instalación de WordPress.
Con él puedes hacer una copia de seguridad de TODO nuestro WordPress (datos, ficheros, imágenes, etc…) y en caso de necesidad reinstalarla partiendo absolutamente de cero y en tan solo unos minutos.
Con Duplicator puedes incluso restaurar nuestra web en un nombre de dominio totalmente nuevo, y repito, en cuestión de minutos.
Nota: Por cuestiones de espacio me he limitado a señalar los plugins que recomiendo y no he entrado en ellos en profundidad. Si quieres que amplíe la información sobre ellos házmelo saber a través de los comentarios o el formulario de contacto y prepararé un tutorial o un video curso específico para cada uno.
Si te ha gustado, no te lo pienses: comparte y corre la voz!
y tú.. ¿Qué opinas? "Kit de auto defensa para wordpress"